Politique de Confidentialité
Dernière mise à jour et entrée en vigueur : 7 mars 2026
1. Responsable du traitement
GseLabs
Site web : www.nullcod.com
Email : contact@nullcod.com
2. Délégué à la Protection des Données (DPO)
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre DPO :
Email : dpo@nullcod.com
3. Données collectées
3.1 Données d'identité et d'authentification
- Nom, prénom, nom d'utilisateur
- Adresse email
- Photo de profil / avatar (via OAuth GitHub ou Google)
- Identifiants OAuth (GitHub, Google)
3.2 Données de paiement
- Informations de paiement traitées par Stripe (numéro de carte, date d'expiration). NullCode ne stocke pas directement vos données bancaires.
- Historique des transactions, plan souscrit
3.3 Données de contenu et synchronisation
- Fichiers de workspace (code source, configurations)
- Conversations avec l'assistant IA (Claude)
- Paramètres, préférences, extensions installées
- Données de synchronisation cross-device (prompts, experts, settings)
3.4 Données de device et tracking
- Identifiant de l'appareil, type d'appareil, système d'exploitation
- Appareils enregistrés pour la synchronisation
- Adresse IP, données de connexion
3.5 Données d'analyse et de diagnostic
- Rapports de crash et d'erreurs (via Sentry)
- Données d'utilisation agrégées
4. Finalités et bases légales
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Fourniture et gestion du service (compte, workspace, synchronisation) | Exécution du contrat (Art. 6.1.b) |
| Traitement des paiements et facturation | Exécution du contrat (Art. 6.1.b) |
| Authentification via OAuth (GitHub, Google) | Exécution du contrat (Art. 6.1.b) |
| Fonctionnalités d'IA (conversations Claude) | Exécution du contrat (Art. 6.1.b) |
| Diagnostic, correction de bugs, amélioration du service | Intérêt légitime (Art. 6.1.f) |
| Sécurité et prévention des fraudes | Intérêt légitime (Art. 6.1.f) |
| Communications marketing (newsletters) | Consentement (Art. 6.1.a) |
| Respect des obligations légales (facturation, fiscalité) | Obligation légale (Art. 6.1.c) |
5. Destinataires et sous-traitants
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Railway Inc. | Hébergement infrastructure et base de données PostgreSQL | Canada |
| Stripe Inc. | Traitement des paiements | USA / Irlande |
| GitHub (Microsoft) | Authentification OAuth | USA |
| Google LLC | Authentification OAuth | USA |
| Sentry (Functional Software) | Suivi des erreurs et crash reporting | Allemagne |
| Fly.io | Exécution de code (Code Runner) | USA |
| Anthropic | API IA Claude (conversations IA) | USA |
Vos données ne sont jamais vendues à des tiers. Elles sont partagées uniquement avec les sous-traitants listés ci-dessus, dans le cadre strict de la fourniture du service.
6. Transferts hors Union Européenne
Certaines de vos données sont transférées vers des pays situés en dehors de l'Espace Économique Européen (EEE) :
- Canada (Railway) : Le Canada bénéficie d'une décision d'adéquation de la Commission européenne.
- USA (Stripe, GitHub, Google, Anthropic, Fly.io) : Les transferts sont encadrés par les Clauses Contractuelles Types (CCT/SCC) adoptées par la Commission européenne et, le cas échéant, par le EU-US Data Privacy Framework (DPF) pour les entreprises certifiées.
Des mesures supplémentaires techniques et organisationnelles sont mises en place conformément aux recommandations du Comité Européen de la Protection des Données (CEPD).
7. Durées de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte (identité, email) | Durée de la relation contractuelle + 3 ans après suppression du compte |
| Données de paiement et facturation | 10 ans (obligation légale comptable) |
| Fichiers de workspace | Durée de la relation contractuelle, supprimés sous 30 jours après suppression du compte |
| Conversations IA | Durée de la relation contractuelle, supprimées sous 30 jours après suppression du compte |
| Données de synchronisation | Durée de la relation contractuelle, supprimées sous 30 jours après suppression du compte |
| Journaux de connexion (logs) | 12 mois (obligation légale LCEN) |
| Rapports de crash (Sentry) | 90 jours |
| Cookies de session | Durée de la session ou 13 mois maximum |
8. Vos droits
Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles.
- Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (Art. 17) : demander la suppression de vos données.
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit à la limitation (Art. 18) : limiter le traitement dans certaines circonstances.
- Droit au retrait du consentement (Art. 7) : retirer votre consentement à tout moment, sans affecter la légalité du traitement fondé sur le consentement avant son retrait.
9. Exercice de vos droits
Vous pouvez exercer vos droits en nous contactant :
- Par email : dpo@nullcod.com
- Par courrier : GseLabs — DPO, à l'adresse communiquée sur demande
Nous répondrons à votre demande dans un délai d'un (1) mois à compter de la réception. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité. Nous pourrons vous demander de justifier de votre identité.
10. Droit de réclamation
Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
www.cnil.fr — CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
11. Cookies et traceurs
NullCode utilise des cookies et technologies de stockage local pour le bon fonctionnement du service. Pour plus de détails, veuillez consulter notre Politique de Cookies.
12. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou par notification dans l'application. La date de dernière mise à jour est indiquée en haut de cette page.
13. Contact
Pour toute question relative à cette politique :
Email : contact@nullcod.com
DPO : dpo@nullcod.com
Privacy Policy
Last updated and effective: March 7, 2026
1. Data Controller
GseLabs
Website: www.nullcod.com
Email: contact@nullcod.com
2. Data Protection Officer (DPO)
For any questions regarding the protection of your personal data, you may contact our DPO:
Email: dpo@nullcod.com
3. Data Collected
3.1 Identity and Authentication Data
- First name, last name, username
- Email address
- Profile picture / avatar (via GitHub or Google OAuth)
- OAuth identifiers (GitHub, Google)
3.2 Payment Data
- Payment information processed by Stripe (card number, expiration date). NullCode does not directly store your banking data.
- Transaction history, subscribed plan
3.3 Content and Synchronization Data
- Workspace files (source code, configurations)
- AI assistant conversations (Claude)
- Settings, preferences, installed extensions
- Cross-device synchronization data (prompts, experts, settings)
3.4 Device and Tracking Data
- Device identifier, device type, operating system
- Registered devices for synchronization
- IP address, connection data
3.5 Analytics and Diagnostic Data
- Crash and error reports (via Sentry)
- Aggregated usage data
4. Purposes and Legal Bases
| Purpose | Legal Basis (Art. 6 GDPR) |
|---|---|
| Service provision and management (account, workspace, sync) | Performance of contract (Art. 6.1.b) |
| Payment processing and billing | Performance of contract (Art. 6.1.b) |
| OAuth authentication (GitHub, Google) | Performance of contract (Art. 6.1.b) |
| AI features (Claude conversations) | Performance of contract (Art. 6.1.b) |
| Diagnostics, bug fixes, service improvement | Legitimate interest (Art. 6.1.f) |
| Security and fraud prevention | Legitimate interest (Art. 6.1.f) |
| Marketing communications (newsletters) | Consent (Art. 6.1.a) |
| Legal obligations (billing, tax) | Legal obligation (Art. 6.1.c) |
5. Recipients and Sub-processors
| Sub-processor | Purpose | Location |
|---|---|---|
| Railway Inc. | Infrastructure hosting and PostgreSQL database | Canada |
| Stripe Inc. | Payment processing | USA / Ireland |
| GitHub (Microsoft) | OAuth authentication | USA |
| Google LLC | OAuth authentication | USA |
| Sentry (Functional Software) | Error tracking and crash reporting | Germany |
| Fly.io | Code execution (Code Runner) | USA |
| Anthropic | Claude AI API (AI conversations) | USA |
Your data is never sold to third parties. It is shared only with the sub-processors listed above, strictly for the purpose of providing the service.
6. Transfers Outside the European Union
Some of your data is transferred to countries located outside the European Economic Area (EEA):
- Canada (Railway): Canada benefits from an adequacy decision by the European Commission.
- USA (Stripe, GitHub, Google, Anthropic, Fly.io): Transfers are governed by Standard Contractual Clauses (SCCs) adopted by the European Commission and, where applicable, the EU-US Data Privacy Framework (DPF) for certified companies.
Additional technical and organizational measures are implemented in accordance with the recommendations of the European Data Protection Board (EDPB).
7. Data Retention Periods
| Data Type | Retention Period |
|---|---|
| Account data (identity, email) | Duration of contractual relationship + 3 years after account deletion |
| Payment and billing data | 10 years (legal accounting obligation) |
| Workspace files | Duration of contractual relationship, deleted within 30 days after account deletion |
| AI conversations | Duration of contractual relationship, deleted within 30 days after account deletion |
| Synchronization data | Duration of contractual relationship, deleted within 30 days after account deletion |
| Connection logs | 12 months (legal obligation) |
| Crash reports (Sentry) | 90 days |
| Session cookies | Session duration or 13 months maximum |
8. Your Rights
Under the GDPR (EU Regulation 2016/679), you have the following rights:
- Right of access (Art. 15): obtain a copy of your personal data.
- Right to rectification (Art. 16): correct inaccurate or incomplete data.
- Right to erasure (Art. 17): request deletion of your data.
- Right to data portability (Art. 20): receive your data in a structured, machine-readable format.
- Right to object (Art. 21): object to processing based on legitimate interest.
- Right to restriction (Art. 18): restrict processing in certain circumstances.
- Right to withdraw consent (Art. 7): withdraw your consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal.
9. Exercising Your Rights
You may exercise your rights by contacting us:
- By email: dpo@nullcod.com
- By mail: GseLabs — DPO, at the address provided upon request
We will respond to your request within one (1) month of receipt. This period may be extended by two (2) additional months in case of complexity. We may ask you to verify your identity.
10. Right to Lodge a Complaint
If you believe that the processing of your data does not comply with applicable regulations, you have the right to lodge a complaint with the French Data Protection Authority (CNIL):
www.cnil.fr — CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
If you are located in another EU member state, you may also contact your local supervisory authority.
11. Cookies and Trackers
NullCode uses cookies and local storage technologies for the proper functioning of the service. For more details, please consult our Cookie Policy.
12. Policy Updates
We reserve the right to modify this privacy policy at any time. In the event of a substantial modification, we will notify you by email or through an in-app notification. The last update date is indicated at the top of this page.
13. Contact
For any questions regarding this policy:
Email: contact@nullcod.com
DPO: dpo@nullcod.com